Vérifier une fuite de données email : guide pratique
Email ou mot de passe exposé ? Découvrez comment vérifier une fuite de données avec Have I Been Pwned et agir vite pour sécuriser vos comptes.
Sommaire
Vos identifiants se sont peut-être déjà retrouvés dans une base de données piratée, sans que vous le sachiez. Bonne nouvelle : il existe des outils gratuits et fiables pour le vérifier en quelques secondes, puis reprendre le contrôle. Voici comment savoir si votre adresse email ou vos mots de passe ont été exposés, et surtout quoi faire ensuite.
Pourquoi vérifier si vos données ont fuité
Chaque année, des milliards d'identifiants sont volés lors de piratages de sites web, de boutiques en ligne ou de réseaux sociaux. Ces données — adresses email, mots de passe, parfois numéros de téléphone ou adresses — circulent ensuite sur le web, sont revendues, ou diffusées gratuitement.
Le danger principal n'est pas tant la fuite elle-même que le « credential stuffing » : les pirates testent automatiquement vos identifiants volés sur des dizaines d'autres services. Si vous réutilisez le même mot de passe partout, une seule fuite peut compromettre votre boîte mail, vos réseaux sociaux et vos comptes bancaires.
Étape 1 : Tester votre adresse email sur Have I Been Pwned
Have I Been Pwned (HIBP), littéralement « est-ce que je me suis fait avoir », est l'outil de référence créé par le chercheur en sécurité Troy Hunt.
- Rendez-vous sur haveibeenpwned.com.
- Saisissez votre adresse email dans le champ de recherche, puis cliquez sur « pwned? ».
- En quelques secondes, le site affiche soit un message vert rassurant, soit la liste rouge des fuites dans lesquelles votre email apparaît.
Pour chaque fuite, vous verrez le nom du service concerné, la date approximative et la nature des données exposées (mot de passe, date de naissance, adresse IP, etc.). Répétez l'opération pour chacune de vos adresses email, y compris les anciennes.
Étape 2 : Vérifier si vos mots de passe ont été exposés
HIBP propose une rubrique « Pwned Passwords » qui permet de tester un mot de passe sans jamais l'envoyer en clair grâce à un procédé cryptographique (le k-anonymity). Si un mot de passe que vous utilisez figure dans la base, considérez-le comme grillé et changez-le immédiatement partout où il sert.
La plupart des navigateurs et gestionnaires de mots de passe modernes intègrent désormais cette vérification automatiquement :
- Google Chrome et Microsoft Edge affichent une alerte quand un mot de passe enregistré a fuité.
- Apple (Trousseau iCloud) signale les mots de passe compromis dans Réglages.
- Les gestionnaires comme Bitwarden, 1Password ou Dashlane proposent un « rapport de sécurité ».
Étape 3 : Comparer les outils de vérification
Have I Been Pwned reste la valeur sûre, mais d'autres services existent. Méfiez-vous toutefois des sites obscurs qui réclament votre mot de passe complet : c'est un signal d'alerte.
| Outil | Ce qu'il vérifie | Gratuit | À retenir |
|---|---|---|---|
| Have I Been Pwned | Email, mots de passe, domaines | Oui | La référence, indépendante et transparente |
| Vérification navigateur (Chrome, Edge) | Mots de passe enregistrés | Oui | Automatique, intégré à votre compte |
| Trousseau iCloud (Apple) | Mots de passe enregistrés | Oui | Pratique sur iPhone et Mac |
| Gestionnaire de mots de passe | Tous vos mots de passe stockés | Selon offre | Vue d'ensemble et alertes continues |
Étape 4 : Agir immédiatement si vous êtes concerné
Découvrir son email dans une fuite n'est pas une catastrophe si vous réagissez vite. Voici les gestes prioritaires, dans l'ordre :
- Changez le mot de passe du service concerné, et de tout autre compte où vous utilisiez le même.
- Activez la double authentification (2FA) sur vos comptes importants : email, banque, réseaux sociaux. Privilégiez une application d'authentification plutôt que les SMS.
- Utilisez des mots de passe uniques pour chaque service. Un gestionnaire de mots de passe les génère et les retient à votre place.
- Surveillez votre boîte mail et vos comptes : connexions suspectes, emails de réinitialisation que vous n'avez pas demandés, prélèvements inconnus.
- Méfiez-vous des tentatives de hameçonnage : après une fuite, les escrocs ciblent souvent les adresses exposées avec des messages personnalisés.
Le vrai problème n'est jamais une fuite isolée, mais le mot de passe que vous avez réutilisé sur dix autres sites.
Adopter de bonnes habitudes durables
Vérifier ses données ne devrait pas être un geste ponctuel motivé par la panique. Intégrez-le à votre routine numérique : une vérification tous les six mois, l'activation des alertes automatiques, et surtout l'abandon définitif des mots de passe réutilisés.
Une fuite est rarement évitable de votre côté — elle dépend de la sécurité des sites où vous êtes inscrit. Mais vos conséquences, elles, sont entièrement entre vos mains. En cloisonnant vos mots de passe, vous transformez une fuite potentiellement dévastatrice en simple incident sans suite.
Cet article a une visée informative. Pour les comptes les plus sensibles (banque, administration), reportez-vous aux recommandations officielles de cybersécurité, notamment celles de cybermalveillance.gouv.fr.
Questions fréquentes
Have I Been Pwned est-il fiable et sans danger ?
Oui. Le site, créé par l'expert en sécurité Troy Hunt, est une référence reconnue mondialement. Il ne stocke pas votre adresse email lors d'une recherche simple et ne vous demande jamais votre mot de passe en clair. Vous pouvez l'utiliser en confiance, mais ne saisissez jamais votre mot de passe sur un site qui n'utilise pas un système chiffré comme celui de HIBP.
Mon email apparaît dans une fuite mais date de plusieurs années : dois-je m'inquiéter ?
Si vous avez changé votre mot de passe depuis et qu'il n'était pas réutilisé ailleurs, le risque est faible. En revanche, si vous utilisiez le même mot de passe sur plusieurs sites, changez-le partout immédiatement. Les pirates exploitent d'anciennes fuites pendant des années.
La vérification est-elle vraiment gratuite ?
Oui, la recherche par adresse email sur Have I Been Pwned est entièrement gratuite. Le service propose aussi des alertes automatiques gratuites pour être prévenu lors d'une future fuite. Seules les API destinées aux entreprises sont payantes.
Que faire si mon numéro de téléphone a fuité, pas seulement mon email ?
Un numéro exposé augmente le risque de hameçonnage par SMS (smishing) et d'usurpation de carte SIM. Méfiez-vous des SMS demandant des codes ou des informations, et privilégiez une application d'authentification plutôt que les codes par SMS pour vos comptes sensibles.
Peut-on supprimer ses données d'une fuite déjà publiée ?
Non, une fois des données diffusées, il est impossible de les effacer des copies en circulation. Vous ne pouvez agir que sur les conséquences : changer vos mots de passe, surveiller vos comptes et activer la double authentification.
Cet article vous a-t-il été utile ?
Plus dans Tech & Numérique
Continuer la lecture
Compte piraté, que faire ? La checklist d'urgence
Compte email, réseau social ou banque piraté : voici les étapes d'urgence pour reprendre le contrôle, limiter les dégâts et sécuriser vos accès rapidement.
Arnaque SMS (smishing) : reconnaître et réagir vite
Faux SMS de colis, de banque ou des impôts : apprenez à repérer les signaux d'alerte du smishing et adoptez les bons réflexes pour protéger vos données.
Antivirus gratuit ou payant : faut-il encore en installer en 2026 ?
Windows Defender suffit-il ou faut-il une suite payante ? Notre comparatif pour décider en 2026 selon votre profil, votre matériel et vos usages.
Ransomware : comment se protéger et réagir en cas d'attaque
Comprendre le ransomware, prévenir l'infection avec des sauvegardes et des mises à jour, et savoir réagir sans payer la rançon : le guide complet et concret.